[DigitalForensic] DefCoN#22 #3

문제

 

 

Wireshark 분석

패킷을 한번 열어보고 살피다 보면, FTP 프로토콜에서 2개의 zip 파일을 확일 할 수 있습니다

 

파일을 다운 받아 보겠습니다.

 

CTF풀때 이용한 NetworkMiner을 이용하여 zip를 다운하겠습니다.

 

 

 

 

 

음..

sandofwhich

 

obj34

으음.

HXD로 확인해봐도 파일 시그니처가 딱히..뭐 없습니다

 

 

 

힌트를 한번 이용해 보겠습니다.

Hint : Snowden’s-eloquent-quotes.jpg

구글링.

Edward Snowden Quotes - BrainyQuote

음..

단어를 조합해야 할 것 같은데 단어가 부족합니다..

하나씩 열심히 찾아보면.......

 

 

TCP Stream으로 오픈 후.

 

 

 

Raw로 저장을 한 후, 압축을 푸니, 

 

와! 단어가 더 나왔습니다.

 

음.. 

 

zip 파일의 용량이 비정상적으로 큰 것을 확인 할 수 있습니다.

 

Hxd로 확인 결과

 

먼저 Zip의 파일 시그니처는

50 4B 03 04 입니다.

 

 

Zip의 파일 시그니처가 3개가 있으므로 기준으로 잘 나눠주면..

 

 

 

단어를 다 찾았다 이제 합쳐주자..

 

cat I.jpg cant.jpg in.jpg good.jpg conscience.jpg allow.jpg the.jpg U.S..jpg government.jpg to.jpg destroy.jpg privacy.jpg internet.jpg freedom.jpg and.jpg basic.jpg liberties.jpg for.jpg people.jpg around.jpg world.jpg with.jpg this.jpg massive.jpg surveillance.jpg machine.jpg theyre.jpg secretly.jpg building.jpg > Def3.jpg

 

 

사진

 

 

이것이 뭔지 물어보니.. 구글 이미지 검색을 통해 찾아보겠습니다

 

My Sculpture Blog: 2013 (chrisbathgate.blogspot.com)

 

 

 

 

정답

 

 

 

 

 

Chess Set

.. 대소문자.. ㅠ